忍者ブログ
情報処理技術者試験の合格を目指す全受験者のための、1問1問「徹底解説」ブログです。単なる過去問の暗記ではなく、なぜその答えになるのかを本質的に理解できるよう解説します。書籍などでは学べない最新用語やトレンドを踏まえてご紹介します。

【情報セキュリティ】正規ツールが牙をむく!「環境寄生型攻撃(LotL)」|情報処理問題1000本ノック

近年の高度な攻撃では、ウイルス(マルウェア)を送り込むのではなく、OSに最初から備わっている「正規のプログラム」を悪用する手法が増えています。検知が困難な「環境寄生型」の恐怖を攻略しましょう。

1. 問題:正規プログラムを悪用した攻撃

【 問題 】 OSに標準でインストールされている管理ツール(PowerShellやWMIなど)や、正規のシステム機能を悪用して攻撃を行う手法を何と呼ぶでしょうか?

ア、環境寄生型攻撃(LotL攻撃)   イ、ゼロデイ攻撃   ウ、ソーシャルエンジニアリング   エ、辞書攻撃

2. 正解:高度な標的型攻撃に関する正解

正解: ア、環境寄生型攻撃(LotL:Living off the Land)

3. 解説:その場にあるもので「生活」し「攻撃」する

LotL(Living off the Land)は、直訳すると「その土地の物で生きていく」という意味です。独自の不正プログラムを持ち込まず、ターゲットの環境にある「正規ツール」を遠隔操作の道具に変えます。

【図解:LotL攻撃の特徴と巧妙さ】

■ ファイルレス(Fileless)
・ディスクに怪しい実行ファイル(.exeなど)を残さないため、従来のウイルススキャンをすり抜けます。

■ 正規ツールの悪用
Windows PowerShell:スクリプトを実行して情報を盗む。
WMI (Windows Management Instrumentation):システムの管理機能を乗っ取って永続的に潜伏する。

■ 検知の難しさ
・動いているのは「信頼されたOS標準プログラム」であるため、正常な業務操作と見分けがつきません。
[ 防御の最前線 ]
EDR (Endpoint Detection and Response):ファイルの有無ではなく、「不自然な挙動(例:管理者がいない時間にPowerShellが外部通信している)」を監視して検知します。
ログの詳細分析:どの正規ツールが、いつ、どのようなコマンドを実行したかを記録・分析することが不可欠です。

1. 理解のコツ: 「泥棒が自前のバールを持ってくる(マルウェア)」のではなく、「家の中にあるキッチンナイフや工具を勝手に使う(LotL)」イメージです。外部からの持ち込みがないため、検問(セキュリティソフト)にかかりにくいのが特徴です。
2. 試験対策の視点: 「正規プログラムを悪用」「ホワイトリスト形式の防御を突破する」といった記述があればLotL攻撃を指します。最新のセキュリティ動向として非常に注目されている用語です。

4. まとめ

「OS標準の正規ツールを悪用して攻撃を行う」。これが環境寄生型攻撃(LotL)です。これからのセキュリティは、「誰が動いているか」だけでなく「何をしているか」という振る舞いを監視する視点が重要になります。



PR

【情報セキュリティ】隠れたファイルを暴き出す!「強制ブラウズ」|情報処理問題1000本ノック

Webサイトには、トップページからリンクされていない「非公開」のリソースが存在することがあります。それらを直接指定して閲覧しようとする攻撃手法を攻略しましょう。

1. 問題:非公開リソースへの直接アクセス

【 問題 】 Webサーバ上の、本来公開を意図していないファイルやディレクトリに対して、URLを直接入力したり推測したりすることでアクセスを試みる攻撃手法を何と呼ぶでしょうか?

ア、クロスサイトスクリプティング   イ、強制ブラウズ   ウ、セッションハイジャック   エ、ディレクトリトラバーサル

2. 正解:攻撃手法に関する正解

正解: イ、強制ブラウズ

3. 解説:推測と露出が悪用される

強制ブラウズ(Forced Browsing)は、リンクを辿るのではなく、攻撃者が「ありそうなファイル名」を直接ブラウザに入力することで、機密情報や管理画面にアクセスする行為です。

【図解:強制ブラウズの主な原因】

■ ディレクトリ・インデックスの表示
・Webサーバの設定不備により、ファイル一覧が表示され、そこから非公開ファイルへ辿られてしまう。

■ URLの推測
・「/admin/」や「/backup/db.zip」など、他のURLから容易に推測可能な名前が付けられている。

■ 認証の欠如
・「リンクされていない=見つからない」という前提で、重要なファイルにアクセス制限(認証)をかけていない。
[ 防御のポイント ]
適切なアクセス制御:URLを知っていれば誰でも見られる状態を避け、認証・認可を徹底する。
サーバ設定の最適化:ディレクトリ一覧表示(Indexing)を無効にする。
不要なファイルの削除:バックアップファイルや古い設定ファイルをサーバ上に放置しない。

1. 理解のコツ: 「正面玄関(トップページ)を通らず、裏窓や勝手口(直接URL入力)から入ろうとする」行為をイメージしてください。名前が似ている「ディレクトリトラバーサル」は、「../」などを用いて上位階層へ遡る攻撃であり、強制ブラウズとは区別されます。
2. 試験対策の視点: 「公開されていないリソースへアクセスされる」「URLの推測」といった記述があれば強制ブラウズを指します。Webサーバのセキュリティ設定(ApacheやNginxの構成ファイル)に関する問題とも関連が深いです。

4. まとめ

「Webサーバの非公開リソースへ、URL推測等でアクセスする」。これが強制ブラウズです。「隠しているから安全」という考えを捨て、適切なアクセス権限の設定と、サーバ側の露出管理を行うことが防衛の基本です。


【情報セキュリティ】解読を拒む複雑なルール!「多重音字換字暗号」|情報処理問題1000本ノック

単一の文字を別の文字に置き換えるだけの「単一換字暗号」は、出現頻度分析で容易に解読されてしまいます。その弱点を克服するために考案された、より高度な換字手法を攻略しましょう。

1. 問題:複数文字をまとめる暗号化

【 問題 】 換字暗号のうち、1文字ずつではなく「複数文字をひとまとめ」にして暗号化する方式を何と呼ぶでしょうか? また、特に2文字を1組として暗号化するものを何と呼ぶでしょうか?

ア、多重音字換字暗号(ダイグラフィック換字暗号)   イ、シーザー暗号(ローテーション暗号)   ウ、転置暗号(ルート暗号)   エ、共通鍵暗号(ブロック暗号)

2. 正解:暗号アルゴリズムに関する正解

正解: ア、多重音字換字暗号(2文字1組はダイグラフィック換字暗号)

3. 解説:パターンの破壊

多重音字換字暗号(Polygraphic substitution cipher)は、複数の文字を1つのユニットとして扱うことで、文字の出現頻度の偏り(統計的性質)を隠蔽します。

【図解:ダイグラフィック換字暗号の特徴】

■ 基本概念
・例えば「HE」という2文字を、あらかじめ決めた換字表に基づいて「XY」という全く別の2文字の組み合わせに変換します。

■ ダイグラフィック(Digraphic)
・Di(2つの)+Graphic(書きもの)を意味し、2文字1組で処理する方式を指します。

■ 代表例:プレイフェア暗号
・5×5のアルファベット表を使い、2文字の相対的な位置関係から暗号化を行う、歴史的に有名なダイグラフィック暗号です。
[ 古典暗号の進化 ]
単一換字暗号:常に A→D のように決まった文字に置き換える(頻度分析に弱い)。
多表式換字暗号:場所によって A が D になったり X になったりする(ヴィジュネル暗号など)。
多重音字換字暗号:文字の「塊」で置き換える(今回のテーマ)。

1. 理解のコツ: 「単語」として暗号化するのではなく、「2文字のペア」という中途半端な単位で変換することで、言語特有のパターンを見えなくする工夫です。
2. 試験対策の視点: 古典暗号の分類として出題されることがあります。「複数文字をまとめて」「2文字1組(ダイグラフィック)」というキーワードが出たら、この方式を特定できるようにしましょう。現代のブロック暗号の先駆けとも言える考え方です。

4. まとめ

「複数文字をまとめて暗号化し、2文字1組をダイグラフィックと呼ぶ」。これが多重音字換字暗号です。単なる置き換えから一歩進んだ、情報理論的な安全性を高めるための基礎概念であることを押さえておきましょう。


【セキュリティ】衝突ゼロの理想形!「完全ハッシュ関数」|情報処理問題1000本ノック

ハッシュ関数はデータを固定長の数値に変換する便利な技術ですが、異なるデータから同じ値が出る「衝突」が常に課題となります。その衝突を完全に排除した「完全ハッシュ関数」を攻略しましょう。

1. 問題:衝突が発生しないハッシュ関数

【 問題 】 与えられたキーの集合に対して、異なるキーからは必ず異なるハッシュ値が生成され、ハッシュ値の衝突(コリジョン)が一切生じないハッシュ関数を何と呼ぶでしょうか?

ア、一方向性ハッシュ関数   イ、完全ハッシュ関数   ウ、暗号学的ハッシュ関数   エ、メッセージダイジェスト

2. 正解:暗号・アルゴリズムに関する正解

正解: イ、完全ハッシュ関数

3. 解説:理想的な「1対1」の対応

通常のハッシュ関数では、限られた出力範囲に対して膨大な入力があるため、稀に同じハッシュ値になる「衝突」が起こります。これを完全に回避するように設計されたのが完全ハッシュ関数です。

【図解:完全ハッシュ関数の特徴】

■ 衝突(コリジョン)がゼロ
・重複が絶対にないため、データの検索時に「衝突への対処(チェイン法など)」が不要になります。

■ 最小完全ハッシュ関数
・ハッシュ値の範囲が、データの個数と全く同じ(空きがない)状態。メモリ効率も最大化されます。

■ 静的なデータ向け
・あらかじめ検索するキーワードが決まっている場合(予約語の判定や辞書など)に設計・利用されます。
[ セキュリティ・暗号のキーワード ]
衝突(コリジョン):異なるデータが同じハッシュ値になってしまう現象。セキュリティ上、これを意図的に起こす「衝突攻撃」への耐性が重要です。
一方向性:ハッシュ値から元のデータを復元することが極めて困難であるという性質。
SHA-256 / SHA-3:現在広く使われている暗号学的ハッシュ関数の規格。

1. 理解のコツ: 「出席番号」をイメージしてください。クラス全員に重複なく番号が割り振られていれば、番号を呼ぶだけで誰か一人を特定できます。この「重複がない=完全」という状態が、コンピュータの世界での完全ハッシュ関数です。
2. 試験対策の視点: ハッシュ関数には「高速な検索」と「改ざん検知(暗号)」の2つの側面があります。今回の「完全ハッシュ関数」は主に前者の**検索効率の最大化**という文脈で登場します。衝突を解決するアルゴリズム(オープンアドレス法やチェイン法)の手間がゼロになるのが最大のメリットです。

4. まとめ

「異なるキーに対して、常に異なる値を返す」。これが完全ハッシュ関数です。データの衝突という宿命的な課題を、特定のデータセットに対して完璧に克服した高度なアルゴリズムであることを押さえておきましょう!



【セキュリティ】Webの追跡技術!「サードパーティー・クッキー」|情報処理問題1000本ノック


Webサイトを訪れた際、私たちの行動は様々な形で記録されています。特に、広告配信などで使われる「サードパーティー・クッキー」の仕組みとプライバシーリスクを攻略しましょう。

1. 問題:クッキーの分類と役割

【 問題 】 Webサイトの閲覧時に発行されるクッキーのうち、現在表示しているWebサイト(ドメイン)とは異なる、広告配信会社や解析ツール提供会社などの「第三者(サードパーティー)」から送信されるクッキーを何と呼ぶでしょうか?

ア、セッションクッキー   イ、パーマネントクッキー   ウ、サードパーティー・クッキー   エ、ファーストパーティー・クッキー

2. 正解:Webブラウザの仕組みに関する正解

正解: ウ、サードパーティー・クッキー

3. 解説:なぜ「サード(第三者)」なのか

クッキーの分類は、誰がそのクッキーを発行したか(どのドメインから送られたか)によって決まります。

【図解:クッキーの仕組み】

■ ファーストパーティー・クッキー
・現在閲覧しているサイト自身が発行。
・目的:ログイン状態の保持、カートの中身の保存など。

■ サードパーティー・クッキー
・サイト内に埋め込まれた広告やSNSボタンなどの「外部サーバー」が発行。
・目的:複数のサイトを横断したユーザーの行動追跡(トラッキング)
[ なぜ問題視されているのか? ]
プライバシー侵害:ユーザーがどのサイトを巡ったかを長期間追跡できるため、個人の趣味嗜好が筒抜けになるリスクがあります。
規制の強化:近年のWebブラウザ(ChromeやSafariなど)は、プライバシー保護の観点からサードパーティー・クッキーのブロック(廃止)を標準化する傾向にあります。

1. 理解のコツ: 「ファースト=自分自身」「サード=第三者(外部)」という言葉の定義そのものです。広告バナーが表示された際、そのバナーのサーバーがあなたに「誰ですか?」という名札(クッキー)を渡してくるイメージを持つと分かりやすいです。
2. 試験対策の視点: クッキーの定義だけでなく、「クッキーの無効化」がセキュリティ対策の基本であること、また「トラッキング(追跡)」というキーワードが出たらサードパーティー・クッキーを想起できるようにしましょう。

4. まとめ

「閲覧サイト以外から送られ、行動を追跡する」。これがサードパーティー・クッキーです。広告技術としては強力ですが、ユーザーのプライバシー保護という観点から、現在は制限される方向にあることを押さえておきましょう。

【情報セキュリティ】巧妙な罠!「フィッシング詐欺」の正体|情報処理問題1000本ノック


メールやSMSを悪用し、本物そっくりの偽サイトへ誘導して個人情報を盗み出す攻撃が急増しています。その手口と対策を正しく理解し、被害を未然に防ぎましょう。

1. 問題:偽サイトへの誘導詐欺

【 問題 】 銀行やショッピングサイト、SNSなどを装った偽のメールやメッセージを送り、本物そっくりの偽サイト(フィッシングサイト)へ誘導して、IDやパスワード、クレジットカード番号などを盗み出す詐欺を何と呼ぶでしょうか?

① ショルダーハック   ② フィッシング詐欺   ③ SQLインジェクション   ④ ブルートフォース攻撃

2. 正解:サイバー攻撃手法に関する正解

正解: ② フィッシング詐欺

3. 解説:獲物を釣り上げる「Phishing」

フィッシング(Phishing)は、洗練された(Sophisticated)と釣り(Fishing)を掛け合わせた造語と言われており、言葉通りユーザーを「釣る」攻撃です。

【図解:フィッシング詐欺の流れ】

1. 偽の通知(餌)
・「アカウントが不正利用された」「支払い方法の更新が必要」といった緊急性を装うメッセージが届く。

2. 偽サイトへの誘導
・本文内のリンクをクリックさせ、本物と見分けがつかない偽のログイン画面を表示させる。

3. 情報の搾取(釣り上げ)
・入力されたIDやパスワードを、攻撃者がリアルタイムで盗み出し、本物のサイトへ不正ログインを行う。
[ 派生した攻撃手法 ]
スミッシング(Smishing):SMS(ショートメッセージ)を使ったフィッシング。
ビッシング(Vishing):電話(Voice)を使ったフィッシング。
ホエーリング(Whaling):企業の経営幹部など「大物(クジラ)」を狙った標的型攻撃。

1. 理解のコツ: どんなに本物に見えても、メール内のリンクから直接ログインしないことが最大の防御です。ブラウザの「ブックマーク」や「公式アプリ」からアクセスする習慣をつけましょう。
2. 試験対策の視点: 「偽サイトへ誘導」「個人情報を盗む」というキーワードが出たらフィッシング詐欺です。また、多要素認証(MFA)を突破しようとする高度なフィッシングサイトも存在するため、認証の仕組みとセットで問われることもあります。

4. まとめ

「不安を煽って偽サイトへ誘い込む」。これがフィッシング詐欺の常套手段です。URLに違和感はないか、公式が推奨する連絡手段かを確認する冷静さが、セキュリティを守る第一歩となります。

【セキュリティ】一度のログインで世界がつながる!「フェデレーション」|情報処理問題1000本ノック


複数のクラウドサービスを利用するのが当たり前の現代。サービスごとにID・パスワードを入力する手間を省き、かつ安全に認証情報をやり取りする「フェデレーション」の仕組みを攻略しましょう。

1. 問題:外部サービス間で認証情報を連携する仕組み

【 問題 】 社内システムやクラウドサービス(SaaS)など、異なるドメインの間で認証情報を共有し、一度のログインで複数のサービスを利用可能にする仕組みを何と呼ぶでしょうか?

① サンドボックス   ② フェデレーション   ③ リフレクション   ④ カプセル化

2. 正解:認証・認可基盤に関する正解

正解: ② フェデレーション

3. 解説:信頼関係に基づいた認証のパスポート

フェデレーション(Federation)は、直訳すると「連合・連邦」です。信頼関係を結んだシステム間で「この人は本人確認済みです」という情報をやり取りすることで、SSO(シングルサインオン)を実現します。

【図解:混同しやすいプロトコルの整理】

SAML (Security Assertion Markup Language)
・用途:主に企業のSSO(IDプロバイダとSaaSの連携)。
・特徴:XMLベースで認証情報をやり取りする。

OIDC (OpenID Connect)
・用途:コンシューマ向けサービス(GoogleやLINEでログインなど)。
・特徴:OAuth 2.0を拡張して「認証」機能を持たせたもの。

OAuth 2.0 (※混同注意!)
・用途:「認可」(アクセス権限の付与)。
・特徴:写真へのアクセス許可などを与えるための仕組み。これ単体では「認証」ではない。
[ 重要キーワード ]
IdP (Identity Provider):認証情報を提供する側(Azure AD, Okta, Googleなど)。
RP / SP (Relying Party / Service Provider):認証情報を利用する側(Salesforce, Slackなど)。
シングルサインオン (SSO):一度の認証で複数のシステムを利用できる機能。

1. 理解のコツ: 自国(IdP)で発行したパスポートを持って、他国(SP)へ入国するようなイメージです。わざわざ入国先で身分証を新規作成する必要はありません。SAMLは「お堅いビジネス文書(XML)」、OIDCは「モダンなWeb標準(JSONベース)」と覚えると区別しやすいです。
2. 試験対策の視点: 「認証(本人確認)」と「認可(権限付与)」の違いは超頻出です。「SAML/OIDC = 認証連携(フェデレーション)」、「OAuth = 認可」と明確に分けましょう。選択肢にOAuthが混じっていたら、「それは認可の仕組みだ」と指摘できるのが理想的です。

4. まとめ

「クラウドと外部の認証基盤を連携させ、安全なSSOを実現する」。これがフェデレーションです。ゼロトラスト時代のセキュリティにおいて、ID管理の中核をなす技術であることを押さえておきましょう!



【セキュリティ】個人情報を世界レベルで守る!「GDPR」の基本|情報処理問題1000本ノック

インターネットに国境はありませんが、個人情報の扱いには厳しいルールが存在します。その代表格であり、世界中の企業に影響を与えている欧州の規則を攻略しましょう。

1. 問題:欧州連合(EU)による個人情報保護規則

【 問題 】 2018年に施行された、EU(欧州連合)加盟国および欧州経済領域(EEA)における個人データの保護、およびその取り扱いに関する包括的な規則を何と呼ぶでしょうか?

① HIPAA   ② GDPR(一般データ保護規則)   ③ PCI DSS   ④ ISMS

2. 正解:法規・標準に関する正解

正解: ② GDPR(一般データ保護規則)

3. 解説:データ主権を個人の手に取り戻す

GDPR(General Data Protection Regulation)は、個人データの「収集」「処理」「移転」を厳格に管理するルールです。EU域内の居住者を対象としていますが、域外(日本など)の企業がEU居住者のデータを扱う場合も適用されるため、事実上の世界標準となっています。

【図解:GDPRの重要キーワード】

忘れられる権利
・自分のデータを削除するように要求できる権利。

データポータビリティの権利
・自分のデータを別のサービスへ移し替えるために、データを受け取る権利。

巨額の制裁金
・違反した場合、最大で「全世界の売上高の4%」または「2,000万ユーロ」のいずれか高い方が科される可能性があります。
[ 関連用語の整理 ]
個人情報保護法:日本の法律。GDPRの影響を受け、より厳格な内容へと改正されています。
ISMS (情報セキュリティマネジメントシステム):組織が情報を守るための仕組み(ISO/IEC 27001)。
クッキー(Cookie)規制:GDPRに関連して、Webサイトの閲覧履歴などの収集に同意を求めるバナーが増えています。

1. 理解のコツ: 「2018年」「EU」「個人情報」という3つのキーワードが揃ったら、迷わずGDPRです。単なるマナーではなく、違反すると企業が傾くほどの莫大な制査金が発生する「非常に厳しい法律」というイメージを持ってください。
2. 試験対策の視点: 「適用範囲」が問われることがあります。EUに拠点がない日本企業であっても、EUの顧客にサービスを提供していれば対象になる、という「域外適用」の概念を理解しておくと、応用問題にも対応できます。

4. まとめ

「個人のデータを、本人の意思に基づき厳格に守るための欧州のルール」。これがGDPRです。DX(デジタルトランスフォーメーション)を進める上で、避けて通れない最重要の法規制であることを押さえておきましょう!


【セキュリティ】数学的困難さを利用!「エルガマル暗号」の正体|情報処理問題1000本ノック


公開鍵暗号には、いくつかの有名なアルゴリズムがあります。それぞれが「解くのが難しい数学の問題」をベースにしていますが、今回はその一つ「エルガマル暗号」を攻略しましょう。

1. 問題:離散対数問題を利用した暗号

【 問題 】 公開鍵暗号方式の一つで、有限体における「離散対数問題」を解くのが非常に困難であることを安全性の根拠としている暗号方式はどれでしょうか?

① RSA暗号   ② エルガマル暗号(ElGamal)   ③ AES   ④ 共通鍵暗号

2. 正解:公開鍵暗号のアルゴリズムに関する正解

正解: ② エルガマル暗号(ElGamal)

3. 解説:数学の難問と暗号のペアを覚える

公開鍵暗号は、計算に膨大な時間がかかる「数学の壁」に守られています。試験対策としては、以下の「問題」と「暗号名」のペアを丸暗記しておくのが最も効率的です。

【必勝!暗記セット表】

離散対数問題(りさんたいすう)
  ⇒ エルガマル暗号 / ディフィー・ヘルマン鍵共有 (DH)

素因数分解問題(そいんすうぶんかい)
  ⇒ RSA暗号

楕円曲線上の離散対数問題
  ⇒ 楕円曲線暗号 (ECC)
[ 関連用語の整理 ]
RSA暗号:桁数の大きな素数の掛け算は簡単だが、分解(素因数分解)は難しいことを利用。
AES:現代の標準的な共通鍵暗号方式。数学的困難さではなく、複雑な置き換え(撹乱)を利用。
一方向性関数:逆計算が極めて困難な関数の総称。これらが暗号の基礎となっています。

1. 理解のコツ: 離散対数問題そのものを計算できるようになる必要はありません。「離散対数 = エルガマル」という反射神経を鍛えるだけで、試験の得点源になります。名前が少し覚えにくいですが、「エルガマルは、離散(りさん)が得意」とこじつけて覚えるのも手です。
2. 試験対策の視点: 公開鍵暗号の問題では、誤答の選択肢に「RSA」や「AES」が並ぶのが定番です。問題文に「離散対数」という言葉が含まれているか、あるいは「素因数分解」が含まれているかを瞬時に見分けるのが合格への近道です。

4. まとめ

「離散対数問題の困難性を安全性の根拠にする」。これがエルガマル暗号の最大の特徴です。暗号の世界は、こうした「解くのが絶望的に難しいパズル」によって支えられていることを押さえておきましょう!



【セキュリティ】特定の標的を狙い撃ち!「スピアフィッシング」の脅威|情報処理問題1000本ノック


不特定多数にバラまくメールではなく、特定の組織や個人を「槍(スピア)」で突くように狙い撃ちにする。巧妙に進化したフィッシング詐欺の手口を正しく理解しましょう。

1. 問題:ターゲットを絞ったフィッシング攻撃

【 問題 】 特定の組織、団体、または個人を標的とし、業務に関係があるような件名や送信元を装って、偽のウェブサイトへ誘導したり、ウイルスを感染させたりする攻撃手法を何と呼ぶでしょうか?

① アドウェア   ② スピアフィッシング   ③ ランサムウェア   ④ スキミング

2. 正解:標的型攻撃に関する正解

正解: ② スピアフィッシング

3. 解説:信頼を悪用する「槍」の攻撃

スピアフィッシングは、攻撃者が事前にターゲットの組織構成や取引先などを調査した上で行われます。「取引先からの請求書」や「社内のシステム更新のお知らせ」といった、受信者が思わず開いてしまうような自然な内容を装うのが特徴です。

【図解:通常とスピアの違い】

通常のフィッシング(地引き網型)
・不特定多数に同じメールを送る。
・「銀行の口座確認」など、誰にでも当てはまりそうな内容。

スピアフィッシング(一本釣り型)
・特定の組織(例:〇〇株式会社の経理部)を狙う。
・「〇月分の出張精算について」など、ターゲットに特化した内容。
[ 関連用語の整理 ]
ホエーリング (Whaling):スピアフィッシングの中でも、特に組織の経営幹部(大物=クジラ)を狙うもの。
標的型攻撃メール:スピアフィッシングを含む、特定の対象を狙った攻撃メールの総称。
ソーシャルエンジニアリング:人間の心理的な隙やミスを突いて情報を盗み出す手法。

1. 理解のコツ: 網で魚をまとめて捕るのが「フィッシング」、狙った獲物を槍で突くのが「スピア(槍)フィッシング」です。中身が自分に関係あることなので、セキュリティ意識が高い人でも騙されやすい、非常に危険な攻撃です。
2. 試験対策の視点: 「特定の組織」「特定の個人」という限定的なキーワードが出たらスピアフィッシングを選びましょう。また、これらは「標的型攻撃」の一環として行われることが多いため、組織的な防御(不審なメールの報告訓練など)の重要性とセットで問われます。

4. まとめ

「標的を絞り込み、信頼関係を装って情報を盗む」。これがスピアフィッシングの本質です。技術的な対策だけでなく、情報の受け手側が「常に疑いを持つ」というリテラシーが求められる攻撃であることを押さえておきましょう!